DE102014101836A1 - Verfahren zum Hochfahren eines Produktions-Computersystems - Google Patents

Verfahren zum Hochfahren eines Produktions-Computersystems Download PDF

Info

Publication number
DE102014101836A1
DE102014101836A1 DE102014101836.2A DE102014101836A DE102014101836A1 DE 102014101836 A1 DE102014101836 A1 DE 102014101836A1 DE 102014101836 A DE102014101836 A DE 102014101836A DE 102014101836 A1 DE102014101836 A1 DE 102014101836A1
Authority
DE
Germany
Prior art keywords
computer system
key
production
production computer
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014101836.2A
Other languages
English (en)
Inventor
Heinz-Josef Claes
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Technology Solutions Intellectual Property GmbH
Original Assignee
Fujitsu Technology Solutions Intellectual Property GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property GmbH filed Critical Fujitsu Technology Solutions Intellectual Property GmbH
Priority to DE102014101836.2A priority Critical patent/DE102014101836A1/de
Priority to EP15702710.3A priority patent/EP3105899B1/de
Priority to JP2016551860A priority patent/JP6300942B2/ja
Priority to PCT/EP2015/051603 priority patent/WO2015121061A1/de
Priority to US15/118,530 priority patent/US10114654B2/en
Publication of DE102014101836A1 publication Critical patent/DE102014101836A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Abstract

Die Erfindung betrifft ein Verfahren zum Hochfahren eines Produktions-Computersystems (1). Das Verfahren umfasst die Schritte: – Sammeln von Informationen über Systemdaten des Produktions- Computersystems (1), – Übertragen der Informationen über die Systemdaten des Produktions-Computersystems (1) an ein Key-Computersystem (2) und Vergleich der gesammelten Informationen mit im Key- Computersystem (2) hinterlegten Vergleichsinformationen, – Übertragen einer Passphrase vom Key-Computersystem (2) an das Produktions-Computersystem (1) zum Entschlüsseln von verschlüsselten Dateisystem-Daten innerhalb des Produktions- Computersystems (1), falls der Vergleich erfolgreich ist, – Entschlüsseln der verschlüsselten Dateisystem-Daten vermittels der Passphrase, sowie – Laden der entschlüsselten Dateisystem-Daten und Hochfahren des Produktions-Computersystems (1).

Description

  • Die Erfindung betrifft ein Verfahren zum Hochfahren eines Produktions-Computersystems.
  • Um ein Produktions-Computersystem mit einem verschlüsselten Dateisystem hochzufahren (zu booten; auch: Bootprozess, Bootvorgang genannt), ist eine sogenannte Passphrase (auch Passwort, Kennwort, Schlüsselwort, Codewort, Losungswort oder Parole genannt) zu Beginn des Bootvorgangs notwendig. Die Passphrase ist ein Schlüssel, der zur Ver- beziehungsweise Entschlüsselung eines verschlüsselten Dateisystems im Produktions-Computersystem verwendet wird, sodass das Produktions-Computersystem vermittels des entschlüsselten Dateisystems einen Bootvorgang durchführen kann.
  • Die Passphrase muss hierzu bei herkömmlichen Lösungen im Klartext verfügbar sein (beispielsweise von einem autorisierten Benutzer am Produktions-Computersystems eingegeben werden), soll jedoch weder für einen unbefugten Dritten noch, unter Umständen, für einen Systemadministrator des Produktions-Computersystems ersichtlich sein. Auch dürfen die für den Bootvorgang verwendeten Programme von einem Administrator (oder von anderen unbefugten Dritten) nicht manipulierbar sein.
  • Bisherige Lösungen sehen vor, dass ein Benutzer vor dem eigentlichen Bootvorgang die Passphrase direkt (zum Beispiel an einer Konsole) eingibt. Insbesondere bei Servern ist es üblich, vor dem eigentlichen Bootvorgang auf dem verschlüsselten Dateisystem zum Beispiel einen sogenannten Secure Shell-(SSH-)Deamon hochzufahren. Ein Administrator loggt sich dort ein und gibt die Passphrase ein, die dann für die Entschlüsselung des Dateisystems verwendet wird.
  • Nachteilig an diesen Lösungen ist, dass für die Eingabe der Passphrase eine Person notwendig ist. Diese Person kann beispielsweise ein unbefugter Dritter oder Krimineller sein, welcher sich der Passphrase unbefugt bedient, um Zugang zum Dateisystem des Produktions-Computersystems zu erlangen.
  • Eine Hinterlegung der Passphrase im System gemäß einer alternativen Lösung stellt jedoch eine zusätzliche Sicherheitslücke dar beziehungsweise stellt den Sinn einer Verschlüsselung grundsätzlich in Frage.
  • Auch die Verwendung von sogenannten „Trusted Plattform Moduls“ (TPM) als weitere Lösung scheidet für ein sicheres Hochfahren eines Produktions-Computersystems aus, da TPM bei diversen Betriebssystemen nur eingeschränkt unterstützt wird und grundsätzliches Misstrauen in die Sicherheit einer derartigen Lösung besteht.
  • Die Aufgabe der vorliegenden Erfindung besteht somit darin, ein Hochfahren eines Produktions-Computersystems zu ermöglichen, ohne sicherheitskritische Einschränkungen der oben genannten Art in Kauf nehmen zu müssen.
  • Die Aufgabe wird durch ein Verfahren zum Hochfahren eines Produktions-Computersystems gemäß Anspruch 1 gelöst.
  • Das Verfahren umfasst die folgenden Schritte:
    • – Herstellen einer Verbindung zwischen einem Key-Computersystem und dem Produktions-Computersystem,
    • – Sammeln von Informationen über Systemdaten des Produktions- Computersystems,
    • – Übertragen der Informationen über die Systemdaten des Produktions-Computersystems an das Key-Computersystem,
    • – Vergleich der gesammelten Informationen mit im Key-Computersystem hinterlegten Vergleichsinformationen,
    • – Übertragen einer Passphrase vom Key-Computersystem an das Produktions-Computersystem zum Entschlüsseln von verschlüsselten Dateisystem-Daten auf einem Medium innerhalb des Produktions-Computersystems, falls der Vergleich erfolgreich ist,
    • – Entschlüsseln der verschlüsselten Dateisystem-Daten auf dem Medium vermittels der Passphrase, sowie
    • – Laden der entschlüsselten Dateisystem-Daten und Hochfahren des Produktions-Computersystems.
  • Der Begriff „Produktions-Computersystem“ betrifft im Kontext des hier erläuterten Verfahrens ein Computersystem, welches zur Datenverarbeitung eingerichtet ist (d.h. „produktiv“ ist). Dabei kann das Produktions-Computersystem ein Desktop-PC, z.B. Arbeitsplatz-Rechner, ein Server oder Serversystem oder jegliche andere Art bekannter Computer-Architekturen sein.
  • Das vorliegende Verfahren wird initiiert, wenn ein Hochfahren des Produktions-Computersystems erwünscht oder erforderlich ist. Eine mögliche Anwendung findet das Verfahren insbesondere innerhalb eines lokalen Rechnernetzwerks (z.B. Firmen-Netzwerks). Das heißt, das Produktions-Computersystem und das Key-Computersystem müssen einander im Netzwerk finden und miteinander kommunizieren können. Außerhalb des Netzwerks ist bei dieser Anwendung keine Ansprechbarkeit des jeweiligen Computersystems gegeben und damit kein automatisierter Austausch der Passphrase möglich. Das bedeutet, dass ein Produktions-Computersystem nicht entsprechend dem vorliegenden Verfahren vermittels des Key-Computersystems hochgefahren werden kann, wenn das Produktions-Computersystem aus dem lokalen Rechnernetzwerk physisch und/oder logisch entfernt wird. Auf diese Weise kann das vorliegende Verfahren auf eine lokale Erreichbarkeit und Kommunikation zwischen den beiden Computersystemen eingeschränkt sein.
  • Der Verfahrensschritt des Sammelns von Informationen über Systemdaten des Produktions-Computersystems dient zum Überprüfen, ob das Produktions-Computersystem vertrauenswürdig und/oder in seiner gegenwärtigen Form (das heißt mit dem gegenwärtigen Systemzustand ausgewählter oder sämtlicher Hardware- sowie Software-Komponenten) dem Key-Computersystem bekannt ist. Dadurch können (und sollen) Manipulationen am Produktions-Computersystem erkannt bzw. stark erschwert werden. Vorteilhaft bilden die gesammelten Informationen solche Systemdaten des Produktions-Computersystems ab, welche im Rahmen eines Bootvorgangs abgefragt, eingebunden und/oder ermittelt werden, z.B. Systemdaten eines Boot-Kernels bzw. Betriebssystemkerns. Auf diese Weise kann eine Manipulation von Komponenten erkannt bzw. stark erschwert werden, welche in den Bootvorgang und ggf. in die Entschlüsselung des verschlüsselten Dateisystems vermittels der Passphrase eingebunden sind, sodass ein unerlaubtes Abgreifen einer Passphrase durch manipulierte Komponenten verhindert werden kann.
  • Die gesammelten Informationen über die Systemdaten des Produktions-Computersystems werden weiterhin mit im Key-Computersystem hinterlegten Vergleichsinformationen verglichen. Wenn der Vergleich positiv ist, dann erfolgt ein automatisiertes Übertragen der Passphrase vom Key-Computersystem an das Produktions-Computersystem. Wie bereits oben erläutert ist die Passphrase ein Schlüssel, der zur Verbeziehungsweise Entschlüsselung der Dateisystem-Daten im Produktions-Computersystem verwendet wird. In der Regel wird hierzu ein symmetrisches Verschlüsselungsverfahren verwendet. Dabei werden die Dateisystem-Daten zunächst mit einem sogenannten Master-Schlüssel verschlüsselt. Der Master-Schlüssel wird aus der Passphrase generiert, durch die Passphrase selbst gebildet oder ist ein von der Passphrase separater Schlüssel, der vermittels der Passphrase seinerseits verschlüsselt wird. Anschließend können die Dateisystem-Daten vermittels dieses Master-Schlüssels wieder entschlüsselt werden.
  • Die Dateisystem-Daten umfassen gemäß dem hier erläuterten Verfahren zumindest Daten, die zum Hochfahren des Produktions-Computersystems (das heißt für einen Bootvorgang) benötigt werden. Solche Daten können beispielsweise Betriebssystem-Daten, Programm-Daten, Anwender-Daten (zum Beispiel Login-Informationen) usw. sein. In verschlüsselter Form sind die Dateisystem-Daten insofern wertlos (beziehungsweise erfolglos), weil keine Verarbeitung derart durchgeführt werden kann, dass ein erfolgreicher Bootvorgang gestartet wird. Erst in entschlüsselter Form (d.h. im Klartext) können die Dateisystem-Daten erfolgreich geladen und ausgeführt werden, sodass das Produktions-Computersystem hochfahren kann.
  • „Entschlüsseln“ bedeutet bei dem hier erläuterten Verfahren generell, dass eine oder mehrere Komponenten (z.B. Betriebssystem-Komponenten, ein Betriebssystemkern oder Boot-Kernel) des Produktions-Computersystems vermittels der an diese übergebenen Passphrase und ggf. vermittels eines Master-Schlüssels, der seinerseits durch die Passphrase verschlüsselt sein kann, lesend und/oder schreibend auf Dateisystem-Daten, die auf dem Medium gespeichert sind, zugreifen können (und damit z.B. das System booten können).
  • Ohne Entschlüsselung der verschlüsselten Dateisystem-Daten im Produktions-Computersystem vermittels der übertragenen Passphrase ist somit ein Hochfahren des Produktions-Computersystems blockiert. Ein unbefugter Dritter kann auf das Produktions-Computersystem und etwaige vertrauliche Inhalte nicht zugreifen.
  • Ein genereller Vorteil des Verfahrens besteht darin, dass das Produktions-Computersystem ohne weiteren Eingriff durch einen Administrator oder eine sonstige Person hochfahren kann. Vielmehr ist keine Person mit Zugriff auf das Produktions-Computersystem erforderlich, die die Passphrase kennt. Dagegen bleibt die Passphrase vorteilhaft während des gesamten Verfahrensablaufs für Personen mit Zugriff auf das Produktions-Computersystem (und unter Umständen auch für Personen mit Zugriff auf das Key-Computersystem) unbekannt. Auf diese Weise kann sichergestellt werden, dass eine sicherheitskritische Passphrase nicht von einer befugten Person missbraucht, von einem Kriminellen gestohlen oder von einer befugten Person an eine unbefugte Person weitergegeben wird. Dennoch ist ein automatisiertes Hochfahren des Produktions-Computersystems via einem automatisierten Übertragen einer Passphrase vom Key-Computersystem an das Produktions-Computersystem möglich.
  • Der Vergleich von Informationen über Systemdaten des Produktions-Computersystems mit im Key-Computersystem hinterlegten Vergleichsinformationen stellt die Sicherheitshürde zur erfolgreichen Durchführung des Verfahrens dar. Eine Manipulation der auf dem Produktions-Computersystem gesammelten Informationen über Systemdaten zum Umgehen dieser Sicherheitshürde ist zwar beispielsweise über einen manipulierten Boot-Kernel bzw. Betriebssystemkern auf dem Produktions-Computersystem prinzipiell möglich. Allerdings erfordert eine solche Manipulation des Verfahrens weitreichende Veränderungen am Betriebssystemkern im Produktions-Computersystem und erschwert so die Manipulation des Bootvorgangs.
  • Auch ein (manipulatives) Abziehen von Informationen über Systemdaten des Produktions-Computersystems durch unbefugte Dritte (zum Beispiel Hacker) auf ein Dritt-Computersystem, welches vorspiegelt das Produktions-Computersystems zu sein, um vom Key-Computersystem die sicherheitskritische Passphrase zu erhalten, erfordert umfassende, langwierige Manipulationen, welche unter Umständen prädiktiv ausgelegt sein müssen. Denn bereits kleinste Veränderungen am Systemzustand des Produktions-Computersystems nach einem derartigen Angriff (z.B. durch ein routinemäßig durchgeführtes Sicherheitsskript vor dem Herunterfahren des Produktions-Computersystems) führen zu einem veränderten Systemzustand des Produktions-Computersystems, welcher im Key-Computersystem als Vergleichsinformation hinterlegt wird. Ein Vergleich mit den vorab manipulativ abgezogenen Systemdaten auf dem kriminellen Dritt-Computersystem wird dann scheitern, sodass das Key-Computersystem ein Übertragen der Passphrase an das kriminelle Dritt-Computersystem verbietet.
  • Auch eine physische Manipulation am Produktions-Computersystem kann beispielsweise durch mechanisch wirksame Versiegelungen am Produktions-Computersystem erschwert beziehungsweise verhindert sowie auffällig gemacht werden.
  • Vorteilhaft startet bei dem Verfahren der hier erläuterten Art das Produktions-Computersystem ein Minimalsystem, welches einen Zugriff des Key-Computersystems auf das Produktions-Computersystem zum Herstellen der Verbindung erlaubt. Das Minimalsystem stellt gewissermaßen eine Plattform zum Zugriff auf das Produktions-Computersystem dar. Somit ist das Minimalsystem bildlich gesprochen eine „Eingangstüre zu einem leeren Vorraum“ des Produktions-Computersystems. Auf dem Minimalsystem kann beispielsweise ein SSH-Deamon laufen.
  • Das Minimalsystem kann zum Beispiel von einer unverschlüsselten Partition einer Festplatte innerhalb des Produktions-Computersystems gestartet werden. Zur weiteren Sicherheit ist alternativ oder ergänzend hierzu jedoch auch denkbar, dass das Minimalsystem auf einem schreibgeschützten Medium (Read only-Medium wie zum Beispiel USB-Speicher oder CD-Laufwerk) gespeichert ist. Das Produktions-Computersystem kann sich dabei beispielsweise in einem abgesicherten Raum oder Rack befinden. Auf das System ist dann kein direkter Zugriff einer einzelnen Person möglich (Mehr-Augen-Prinzip). Auch das BIOS, in dem das schreibgeschützte Medium zum Starten des Minimalsystems eingetragen ist (Boot Device), ist dann vorteilhaft ebenfalls nicht zugänglich bzw. schreibgeschützt. Das Minimalsystem kann beispielsweise bei unix-basierten Systemen „initrd“ oder „initramfs“ sein.
  • Vorteilhaft wird eine Authentifizierung und/oder Autorisierung des Key-Computersystems am Minimalsystem des Produktions-Computersystems abgefragt, wobei die Verbindung zwischen Key-Computersystem und Produktions-Computersystem nur hergestellt wird, wenn die Authentifizierung und/oder Autorisierung des Key-Computersystems am Minimalsystem des Produktions-Computersystems erfolgreich ist.
  • „Authentifizierung“ bedeutet hierbei, dass das Key-Computersystem als solches identifiziert und verifiziert werden kann. „Autorisierung“ bedeutet hierbei, dass dem Key-Computersystem als vertrauenswürdiges System ein Verbindungsaufbau erlaubt ist.
  • Eine Authentifizierung und/oder Autorisierung des Key-Computersystems kann beispielsweise durch eine Hinterlegung von Schlüsseln (sogenannte „Credentials“) oder sonstiger Identifizierungsparameter des Key-Computersystems (zum Beispiel IP Adresse, Netzwerkname, usw.) im Produktions-Computersystem erfolgen. Ein Zugriff auf das Produktions-Computersystem ist somit nur dem Key-Computersystem gestattet. Andere Zugriffsversuche (von unbefugten Dritt-Computersystemen) bleiben erfolglos.
  • Bevorzugt teilt das Produktions-Computersystem gemäß dem vorliegenden Verfahren dem Key-Computersystem eine Bereitschaft zum Hochfahren durch folgende Maßnahmen mit:
    • – Senden einer vorbestimmten Sequenz an Paket-Daten vom Produktions-Computersystem an das Key-Computersystem, wobei die Paket-Daten eine Identifikation des Produktions-Computersystems umfassen,
    • – Überprüfen der gesendeten Paket-Daten auf Übereinstimmung mit einer vordefinierten Sequenz im Key-Computersystem.
  • Derartige Maßnahmen können beispielsweise durch ein sogenanntes Port Knocking vermittels eines Knock-Deamons erfolgen. Dies hat den Vorteil, dass sämtliche im Zusammenhang mit dem Verfahren der hier erläuterten Art stehende Netzwerk-Ports des Key-Computersystems geschlossen sein können, sodass keine laufenden Programme (welche von außen über Netzwerke angreifbar wären) an den Netzwerk-Ports des Key-Computersystems erforderlich sind.
  • Es ist jedoch alternativ oder ergänzend auch denkbar, dass derartige Maßnahmen einen Austausch von Paketen von einer bestimmten IP-Adresse oder einem bestimmten Netzwerknamen aus umfassen. Selbst wenn derartige Maßnahmen zur Identifikation des Produktions-Computersystems von Personen mit vollem Zugriff auf das Produktions-Computersystem gefälscht oder auf Dritt-Computersysteme übertragen werden, so kann das Key-Computersystem durch einen erfolglosen Vergleich von Informationen über Systemdaten des manipulierten Dritt-Computersystems erkennen, dass es sich nicht um das autorisierte (d.h. vertrauliche) Produktions-Computersystem handelt. Auf diese Weise kann das Key-Computersystem zwar durch gefälschte Identifikationen eines vermeintlichen Produktions-Computersystems generell angesprochen werden, eine Passphrase (welche beispielsweise von einem Hacker abgefischt werden soll) wird jedoch vom Key-Computersystem nicht an das Dritt-Computersystem gesendet.
  • Vorteilhaft wird die Bereitschaft zum Hochfahren signalisiert, damit das Key-Computersystem erkennen kann, dass das Produktions-Computersystem hochfahren will. Ferner kann das Key-Computersystem entscheiden, ob es die Passphrase schickt oder nicht. Befindet sich das Produktions-Computersystem beispielsweise in einem sicherheitskritischen Fehlerfall (welcher vermittels der gesendeten Packet-Daten kodiert sein kann) und ist ein Hochfahren nicht angezeigt oder verboten, so wird keine Passphrase gesendet.
  • Vorteilhaft überträgt gemäß dem erläuterten Verfahren das Key-Computersystem wenigstens ein vorbestimmtes Programm auf das Produktions-Computersystem und führt dieses im Produktions-Computersystem aus, wobei vermittels des Programms die Informationen über die Systemdaten des Produktions-Computersystems gesammelt und an das Key-Computersystem übertragen werden.
  • Vorteilhaft ist das Programm auf einem schreibgeschützten (read-only) Medium im Key-Computersystem gespeichert und kann nicht manipuliert werden. Das Programm ist vorteilhaft statisch gebunden und wird so an das Produktions-Computersystem übertragen. Nach dem Übertragen auf das Produktions-Computersystem wird das Programm dort statisch gebunden (lokal) ausgeführt. Dies verhindert eine Manipulation der Ausführung dieses Programms, z.B. über sogenannte „shared libraries“ und somit eine Manipulation am Produktions-Computersystem durch das laufende Programm von außen über Netzwerk. Vorteilhaft ist das Programm auch auf dem Produktions-Computersystem auf einem schreibgeschützten („read-only“) Medium abgelegt. Dies kann bevorzugt durch ein Mehr-Augen-Prinzip geschehen. Alternativ oder ergänzend hierzu kann ein physischer Zugriffsschutz auf die entsprechende Hardware (z.B. Versiegelungen usw.) vorgesehen sein. Dies verhindert eine Manipulation am Programm bzw. an der Hardware oder gar einen Austausch von Hardware.
  • Alternativ zu einer Übertragung des Programms innerhalb des erläuterten Verfahrens kann ein entsprechendes Programm auch schon vorab auf dem Produktions-Computersystem abgespeichert sein. Auch hier ist das Programm vorteilhaft auf einem schreibgeschützten („read-only“) Medium abgelegt. Dies kann ebenfalls durch ein Mehr-Augen-Prinzip geschehen. Alternativ oder ergänzend kann auch hier ein physischer Zugriffsschutz auf die entsprechende Hardware (z.B. Versiegelungen usw.) mit den entsprechenden Vorteilen vorgesehen sein.
  • Gemäß dem vorliegenden Verfahren umfassen die Informationen über die Systemdaten des Produktions-Computersystems vorteilhaft wenigstens eines aus
    • – Informationen über die vorhandene Hardware,
    • – Prüfsummen und/oder Dateigrößen von Anwendungsprogrammen,
    • – Prüfsummen und/oder Dateigrößen des Betriebssystemkerns,
    • – Vollständige Dateien oder Massenspeicherabzüge.
  • Das Sammeln derartiger Informationen kann beispielsweise bei unix-basierten Systemen über „dmidecode“, „disk dump“ (dd), usw. erfolgen. Die Informationen können mit Vergleichsinformationen im Key-Computersystem verglichen werden. Auf diese Weise wird gewissermaßen ein Fingerabdruck (Footprint) der Hardwarekomponenten sowie der Softwarekomponenten des zu bootenden Systems erstellt. Somit ist ein Gesamtbild des Systemzustands aller in dieser Phase auf dem Produktions-Computersystem vorhandenen Programme beziehungsweise Programmdaten erfassbar, wodurch engmaschige Vergleichsinformationen für einen Vergleich gemäß dem erläuterten Verfahren erstellt werden können.
  • Es ist alternativ oder ergänzend zu den oben genannten Informationen auch denkbar, weitere Informationen über Programme oder ganze Dateisysteme oder Programme bzw. Dateisysteme selbst zu erfassen und zu übertragen. Dies erschwert Manipulationen am Produktions-Computersystem zusätzlich.
  • Vorteilhaft wird bei dem Verfahren der erläuterten Art die Passphrase zumindest während der Durchführung des Verfahrens weder in verschlüsselter Form noch in Klartext im Produktions-Computersystem dauerhaft oder wiederherstellbar gespeichert. Die Passphrase wird während des hier erläuterten Verfahrens lediglich (einmalig) als Schlüssel zum Entschlüsseln der Dateisystem-Daten bzw. zum Entschlüsseln eines separaten Master-Schlüssels (welcher wiederum zum Entschlüsseln der Dateisystem-Daten eingesetzt wird) verwendet und nirgendwo im Produktions-Computersystem dauerhaft abgelegt. Vorteilhaft werden auch keine Hash-Werte der Passphrase im Produktions-Computersystem generiert und/oder abgelegt. Dies soll verhindern, dass die Passphrase nach dem Entschlüsseln der verschlüsselten Dateisystem-Daten und nach einem Hochfahren des Produktions-Computersystem durch Angriffe von außen abgefischt werden kann oder auch für Benutzer ersichtlich oder reproduzierbar ist.
  • Bevorzugt wird bei dem Verfahren der erläuterten Art die Passphrase automatisch im Key-Computersystem erzeugt. Dies kann nach einem vorbereiteten Schema (zum Beispiel Look-up table, vordefinierte Kriterien, usw.), alternativ und/oder ergänzend aber auch aleatorisch (vermittels stochastischer Prozesse) erfolgen. Es ist denkbar, eine erzeugte Passphrase mehrmals oder nur einmalig (d.h. für einen einzigen Bootvorgang) zu verwenden. Es ist denkbar, eine Passphrase lediglich beim Einrichten des Produktions-Computersystems einmalig zu erzeugen, Dateisystem-Daten (oder ggf. einen zusätzlichen Master-Schlüssel) zu verschlüsseln und dann die Passphrase sicher im Key-Computersystem zu hinterlegen, um bei jedem Bootvorgang die Dateisystem-Daten vermittels der Passphrase und ggf. eines Master-Schlüssels unter Anwendung des erläuterten Verfahrens entschlüsseln zu können. Es ist alternativ auch denkbar, bei jedem erneuten Bootvorgang oder zu vorbestimmten Zeitpunkten die Dateisystem-Daten (oder ggf. einen zusätzlichen Master-Schlüssel) mit einer jeweils neu generierten Passphrase zu verschlüsseln und entsprechend in einem oder mehreren nachfolgenden Bootvorgängen wieder zu entschlüsseln.
  • Ferner ist denkbar, die erzeugte Passphrase durch ein asymmetrisches Verschlüsselungsverfahren (private/public key) nochmals vermittels eines öffentlichen Schüssels (public key) zu verschlüsseln, an das Produktions-Computersystem zu übertragen und dort vermittels eines privaten Schlüssels (privat key) zu entschlüsseln. Unter Umständen ist auch denkbar, eine einzige Passphrase mit mehreren öffentlichen Schlüsseln zu verschlüsseln und an mehrere Produktions-Computersysteme zu schicken, um diese gemäß dem erläuterten Verfahren hochzufahren.
  • Bevorzugt ist bei dem hier erläuterten Verfahren ein Zugriff eines Benutzers einer ersten Benutzergruppe auf das Produktions-Computersystem nach dessen Hochfahren eingerichtet, jedoch zumindest in einem vorbestimmten Betriebszustand des Key-Computersystems ein Zugriff eines Benutzers der ersten Benutzergruppe auf das Key-Computersystem verhindert.
  • Ein Benutzer der ersten Benutzergruppe kann ein Hochfahren des Produktions-Computersystems – mangels Kenntnis der notwendigen Passphrase – nicht selbst initiieren. Hierzu ist das erläuterte Verfahren notwendig. Erst nach dem Hochfahren können (unter Umständen lokale) Zugriffsrechte der ersten Benutzergruppe auf das Produktions-Computersystem eingerichtet sein. Ein vorbestimmter Betriebszustand des Key-Computersystems in diesem Sinne ist zur und während der Durchführung des vorliegenden Verfahrens. Das heißt, es ist der ersten Benutzergruppe (z.B. einem Administrator des Produktions-Computersystems) zumindest verboten, auf das Key-Computersystem zuzugreifen, um Passphrasen für die Durchführung des Verfahrens zu generieren oder festzulegen. Es kann aber auch dauerhaft nach Einrichten und Aufsetzen des Key-Computersystems der Zugriff der ersten Benutzergruppe auf das Key-Computersystem verboten sein. Zum Beispiel können zum Verhindern eines Zugriffs über Netzwerk sämtliche Netzwerk-Ports des Key-Computersystems geschlossen sein, sodass das Key-Computersystem keine angreifbaren Programme laufen hat.
  • Alternativ oder ergänzend ist bei dem Verfahren der hier erläuterten Art ein Zugriff eines Benutzers einer zweiten Benutzergruppe auf das Key-Computersystem eingerichtet, wobei jedoch zumindest in einem vorbestimmten Betriebszustand des Produktions-Computersystems ein Zugriff eines Benutzers der zweiten Benutzergruppe auf das Produktions-Computersystem verhindert wird.
  • Auch hier ist ein vorbestimmter Betriebszustand des Produktions-Computersystems zur und während der Durchführung des vorliegenden Verfahrens. Das heißt, es ist der zweiten Benutzergruppe (zum Beispiel einem Sicherheitskomitee, welches das Key-Computersystem verwaltet und/oder überwacht) verboten, während des Hochfahrens manipulativ auf das Produktions-Computersystem zuzugreifen. Es kann aber auch dauerhaft nach Einrichten und Aufsetzen des Produktions-Computersystems der Zugriff der zweiten Benutzergruppe auf das Produktions-Computersystem verboten sein. Zum Beispiel können zum Verhindern eines Zugriffs über Netzwerk sämtliche Netzwerk-Ports des Produktions-Computersystems nach dessen Hochfahren geschlossen sein, sodass das Produktions-Computersystem keine angreifbaren Programme laufen hat.
  • Weitere vorteilhafte Ausführungen sind in der nachfolgenden Figurenbeschreibung offenbart.
  • Die Erfindung wird anhand mehrerer Zeichnungen näher erläutert.
  • Es zeigen:
  • 1 eine schematisierte Darstellung einer Anordnung eines Produktions-Computersystems und eines Key-Computersystems zur Durchführung eines Verfahrens zum automatisierten Hochfahren des Produktions-Computersystems, sowie
  • 2A...2C ein schematisierte Ablaufdiagramm eines Verfahrens zum automatisierten Hochfahren eines Produktions-Computersystems.
  • 1 zeigt eine perspektivische Darstellung einer Anordnung eines Produktions-Computersystems 1 und eines Key-Computersystems 2. Eines oder beide Computersysteme können beispielsweise Server darstellen. Die beiden Computersysteme 1 und 2 sind vorteilhaft innerhalb eines lokalen Rechnernetzwerks eingerichtet, sodass beide Computersysteme 1 und 2 einander ansprechen und mit einander kommunizieren können. Hierzu ist eine bidirektionale Datenverbindung zwischen beiden Computersystemen 1 und 2 eingerichtet.
  • Sowohl das Produktions-Computersystem 1 als auch das Key-Computersystem 2 weisen beispielhaft jeweils (schematisiert dargestellt) eine CPU 3 beziehungsweise 4, d.h. einen oder mehrere Prozessorkerne zur Datenverarbeitung, auf. Ferner weisen beide Computersysteme 1 und 2 beispielhaft jeweils zumindest ein Speichermedium 5 beziehungsweise 6 auf, auf dem Daten gespeichert werden können. Die dargestellten Rechnerarchitekturen sind lediglich beispielhaft. Es ist alternativ zu der dargestellten Konfiguration auch denkbar, die Speichermedien 5 und/oder 6 innerhalb eines Speichernetzwerks (sogenanntes Storage Area Network, SAN) zu organisieren, sodass diese außerhalb der Computersysteme 1 und/oder 2 angeordnet, aber über das SAN eingebunden sind.
  • Das Produktions-Computersystem 1 kann vornehmlich dazu eingerichtet sein, vorbestimmte Benutzerdaten zu verarbeiten, zu speichern und gegebenenfalls an weitere Produktions-Computersysteme (nicht dargestellt) weiterzuleiten. Somit dient das Produktions-Computersystem 1 dem laufenden Betrieb, beispielsweise als Datenbankserver, Online-Dienstleistungs-Server usw.
  • Das Key-Computersystem 2 dient übergeordneten Wartungsund/oder Sicherheitsaufgaben und ist unter anderem dazu eingerichtet, ein gesteuertes automatisiertes Hochfahren des Produktions-Computersystems 1 auszulösen.
  • Hierzu wird im Folgenden anhand der 1 in Verbindung mit den 2A bis 2C der schematisierte Ablauf mehrerer Verfahrensschritte S1 bis S14 veranschaulicht.
  • In einem Schritt S1 gemäß 2A befindet sich das Produktions-Computersystem 1 in einem Zustand vor dem eigentlichen Hochfahren in einen Hauptbetriebszustand. Dabei kann das Produktions-Computersystem 1 beispielsweise gänzlich ausgeschaltet sein (hard-off) oder in einem Energiesparzustand (soft-off) befindlich sein, in dem sämtliche oder ausgewählte Betriebsmittel beziehungsweise Komponenten des Produktions-Computersystem 1 abgeschaltet sind (beispielsweise CPU 3, Speichermedium 5, Arbeitsspeicher (nicht dargestellt) usw.).
  • In diesem Zustand soll das Produktions-Computersystem 1 hochgefahren werden. Dazu startet das Produktions-Computersystem ein Minimalsystem 7, welches eine Ansprechbarkeit beziehungsweise eine Zugriffsmöglichkeit via Netzwerk auf das Produktions-Computersystem 1 ermöglicht. Das Minimalsystem 7 kann beispielsweise von einem nicht verschlüsselten Sektor des Speichermediums 5 (beispielsweise von einer Partition einer Festplatte) gestartet werden. Das Minimalsystem 7 umfasst beispielsweise einen SSH-Deamon, der eine Ansprechbarkeit und Zugriffsmöglichkeit auf das Produktions-Computersystem 1 von außen ermöglicht. Auf diese Weise bildet das Minimalsystem 7 eine Plattform für einen Zugriff auf das Produktions-Computersystem 1. Allerdings ist dieser Zugriff in diesem Zustand lediglich beschränkt auf nicht verschlüsselte Daten beziehungsweise Sektoren des Speichermediums 5, welche einen Zugriff vermittels des Minimalsystems 7 zulassen.
  • Insbesondere ist in diesem Zustand kein Zugriff auf ein verschlüsseltes Dateisystem gestattet, welches im Speichermedium 5 in verschlüsselter Form abgelegt ist. Dieses Dateisystem ist jedoch notwendig zum Hochfahren des Produktions-Computersystems 1.
  • Im Schritt S2 gemäß 2A wird abgeprüft, ob das Produktions-Computersystem 1 dem Key-Computersystem 2 erfolgreich eine Bereitschaft zum Hochfahren signalisiert, d.h. dem Key-Computersystem 2 erfolgreich mitteilt, dass es booten möchte. Eine Bereitschaft zum Hochfahren des Produktions-Computersystems 1 kann durch dieses beispielsweise signalisiert werden, indem das Produktions-Computersystem 1 eine vorbestimmte Sequenz an Paket-Daten an das Key-Computersystem 2 sendet, wodurch es signalisiert, dass es booten möchte. Dies kann beispielsweise dadurch erfolgen, dass ein Port-Knocking-Prozess über einen Knock-Deamon am Key-Computersystem 2 seitens des Produktions-Computersystems 1 durchgeführt wird. Hierbei ist vorteilhaft, dass am Key-Computersystem 2 sämtliche Netzwerk-Ports geschlossen sein können, sodass am Key-Computersystem 2 keine laufenden und damit angreifbaren Programme für einen Zugriff von außen notwendig sind.
  • Alternativ oder ergänzend kann das Produktions-Computersystem 1 beispielsweise auch vorbestimmte Identifikationsparameter (beispielsweise IP-Adresse, Netzwerkname etc.) mit dem Key-Computersystem 2 austauschen, wodurch eine entsprechende Bereitschaft zum Hochfahren signalisiert wird.
  • Falls eine Bereitschaft zum Hochfahren nicht erfolgreich signalisiert wird, so wird das Verfahren beendet. Andernfalls wird zu Schritt S3 gemäß 1 beziehungsweise 2A übergegangen.
  • In diesem weiteren Schritt S3 initiiert nun das Key-Computersystem 2 eine Verbindung zum Minimalsystem 7 des Produktions-Computersystems 1. Dazu erfolgt zunächst eine Authentifizierung und/oder Autorisierung des Key-Computersystems 2 am SSH-Deamon im Minimalsystem 7. Hierzu können beispielsweise Credentials überprüft oder alternativ oder ergänzend weitere Identifizierungsparameter der Key-Computersystems 2 abgefragt werden.
  • Falls im Schritt S4 eine Autorisierung des Key-Computersystems 2 am Produktions-Computersystem 1 erfolgreich abgeprüft wurde, wird die Verbindung zwischen dem Produktions-Computersystem 1 und dem Key-Computersystem 2 im Schritt S5 hergestellt, z.B. via SSH am SSH-Deamon des Minimalsystems 7. Andernfalls erfolgt entweder eine erneute Überprüfung der Autorisierung des Key-Computersystems 2 im Schritt S3 gemäß 2A oder alternativ der Abbruch des Verfahrens. Optional kann ein entsprechender Fehlversuch geloggt bzw. gemeldet werden. Dies kann für die Sicherheit des Verfahrens maßgeblich sein.
  • Nach erfolgreich hergestellter Verbindung im Schritt S5 gemäß 2A kann das Key-Computersystem 2 mit dem Minimalsystem 7 des Produktions-Computersystems 1 kommunizieren und Daten austauschen.
  • In Schritt S6 gemäß 1 und 2B überträgt das Key-Computersystem 2 wenigstens ein Programm für den weiteren Bootvorgang an das Produktions-Computersystem 1. Dies ist in 1 schematisiert durch ein Versenden mehrerer Programm-Skripte vom Key-Computersystem 2 an das Produktions-Computersystem 1 dargestellt.
  • In Schritt S7 wird das wenigstens eine Programm, welches vom Key-Computersystem 2 an das Produktions-Computersystem 1 in Schritt S6 übertragen wurde, in das Minimalsystem 7 im Produktions-Computersystem 1 eingebettet und statisch gebunden (lokal) auf dem Produktions-Computersystem 1 ausgeführt. Dies ist in 1 innerhalb des Produktions-Computersystems 1 schematisiert dargestellt. Das Programm kann beispielsweise bei unix-basierten Systemen „dmidecode“ und/oder „disk dump“ (dd) sein.
  • Im Schritt S7 werden weiterhin vermittels des nun im Produktions-Computersystem 1 laufenden Programms Informationen über Systemdaten des Produktions-Computersystems 1 gesammelt. Hierzu kann das Programm einen Fingerabdruck sämtlicher Hardware- beziehungsweise Softwarekomponenten des Produktions-Computersystems 1 erfassen und alternativ oder ergänzend hierzu auch Prüfsummen und/oder Datengrößen einzelner oder aller Programmdaten innerhalb des Produktions-Computersystems 1 bestimmen. Auf diese Weise wird ein Gesamtbild des gegenwärtig vorliegenden Systemzustands im Produktions-Computersystem 1 erfasst und entsprechende Informationen gesammelt.
  • Falls im Schritt S8 festgestellt wird, dass die Informationen vollständig erfasst sind, so werden diese in Schritt S9 auf das Key-Computersystem 2 übertragen. Andernfalls wird der Schritt S7 (Sammeln von Informationen im Produktions-Computersystem 1) weiter ausgeführt. Alternativ zum in 2B dargestellten Ablauf müssen die Informationen nicht zuerst vollständig erfasst werden, bevor sie auf das Key-Computersystem 2 übertragen werden. So ist es denkbar, dass die Informationen in Teilen erfasst werden (vgl. Schritt S7), dann auf das Key-Computersystem 2 übertragen und ggf. dort überprüft werden (vgl. Schritte S9 und S10) und dann die nächsten Teile erfasst (vgl. Schritt S7), übertragen und ggf. überprüft werden (vgl. Schritte S9 und S10), usw.
  • Der Schritt S9 ist in 1 schematisiert dadurch dargestellt, dass Informationen über den Systemzustand des Produktions-Computersystems 1 in Richtung des Key-Computersystems 2 an dieses übertragen werden.
  • Weiterhin wird in Schritt S10 ein Vergleich der gesammelten Informationen mit zuvor z.B. auf dem Speichermedium 6 im Key-Computersystem 2 hinterlegten Vergleichsinformationen durchgeführt. Dies ist in 1 schematisiert dadurch dargestellt, dass innerhalb des Key-Computersystems 2 gesammelte Informationen mit hinterlegten Vergleichsinformationen (siehe Stern-Index) verglichen werden. Durch diesen Vergleich soll ermittelt werden, ob das Produktions-Computersystem 1 vertrauenswürdig und/oder in seiner gegenwärtigen Form (das heißt, mit dem ermittelten Systemzustand) dem Key-Computersystem 2 bekannt ist. Somit soll unterbunden werden, dass das Produktions-Computersystem 1 durch einen unbefugten Dritten manipuliert worden ist, um eine sicherheitskritische Passphrase zur Entschlüsselung des verschlüsselten Dateisystems auf dem Speichermedium 5 im Produktions-Computersystem 1 abzufischen.
  • Denn eine Manipulation des Produktions-Computersystems 1 (beispielsweise durch Schadsoftware, Trojaner, Key-Logger, Phishing-Attacken usw.) würde den Systemzustand des Produktions-Computersystems 1 derart verändern, dass die gesammelten Informationen (siehe Schritt S7 bis S9 gemäß 2B nicht mit vorab ermittelten Vergleichsinformationen innerhalt des Key-Computersystems 2 übereinstimmen.
  • Falls ein derartiger Vergleich (siehe Schritt S11 in 2B) negativ ist, ist das Produktions-Computersystem 1 für das Key-Computersystem 2 nicht (mehr) vertrauenswürdig, sodass das Verfahren beendet wird. Ein Hochfahren des Produktions-Computersystems 1 vermittels des verschlüsselten Dateisystems ist somit nicht möglich. Ein unbefugter Dritter, welcher gegebenenfalls das Produktions-Computersystem 1 manipuliert hat oder durch ein Dritt-Computersystem versucht eine vertrauenswürdige Quelle vorzuspiegeln, hat dann keinen Zugriff auf das Produktions-Computersystem 1 und etwaige vertrauliche Inhalte, welche auf dem Speichermedium 5 abgelegt sind.
  • Falls jedoch in Schritt S11 der Vergleich positiv ist, so wird in Schritt S12 gemäß 1 und 2C gewechselt. In Schritt S12 erfolgt schließlich ein automatisiertes Übertragen einer Passphrase vom Key-Computersystem 2 an das Produktions-Computersystem 1. Dies ist in 1 schematisiert dadurch dargestellt, dass ein „Schlüssel“ in Schritt S12 vom Key-Computersystem 2 an das Produktions-Computersystem 1 übertragen wird.
  • Die Passphrase kann ein Master-Schlüssel zum Ver- bzw. Entschlüsseln des verschlüsselten Dateisystems auf dem Speichermedium 5 innerhalb des Produktions-Computersystems 1 sein. Die Passphrase kann dabei durch ein asymmetrisches Krypto-Verfahren (privat/public keys) nochmals verschlüsselt sein, wobei auf Seiten des Produktions-Computersystems 1 die Passphrase entsprechend durch einen privaten Schlüssel entschlüsselt wird und dann als Masterschlüssel im Klartext zum Entschlüsseln des Dateisystems zur Verfügung steht.
  • Alternativ oder ergänzend ist auch denkbar, dass ein Master-Schlüssel aus der Passphrase generiert wird oder ein von der Passphrase separater Schlüssel ist, der vermittels der Passphrase seinerseits ver -bzw. entschlüsselt wird. Hierbei dient der vermittels der Passphrase ver- bzw. entschlüsselte Master-Schlüssel seinerseits zum Ver- bzw. Entschlüsseln des Dateisystems.
  • In Schritt S13 erfolgt schließlich ein Entschlüsseln von verschlüsselten Dateisystem-Daten auf dem Speichermedium 5 des Produktions-Computersystems 1. Dies ist in 1 schematisiert dadurch dargestellt, dass innerhalb des Produktions-Computersystems 1 der „Schlüssel“ mit dem (zumindest teilweise) verschlüsselten Speichermedium 5 zusammengebracht wird. Die Dateisystem-Daten sind im Klartext erforderlich, um das Produktions-Computersystem 1 hochzufahren. Die Dateisystem-Daten können beispielsweise Programmdaten eines Betriebssystems im Produktions-Computersystem 1 sein. Es ist denkbar, entweder das gesamte Dateisystem zu entschlüsseln oder nur die für einen Prozess (z.B. Bootvorgang) notwendigen Teile. Im letzten Fall wird das Dateisystem nicht als Ganzes entschlüsselt. Die Passphrase wird über entsprechende Tools an zumindest aeine entschlüsselnde Einheit des Produktions-Computersystems 1 übergeben. Diese ver- bzw. entschlüsselt dann je nach Bedarf Teile des Speichermediums 5 (ggf. vermittels eines zusätzlichen Master-Schlüssel wie oben beschrieben).
  • Nach Entschlüsseln der verschlüsselten Dateisystem-Daten vermittels der übertragenen Passphrase können die Dateisystem-Daten schließlich in Schritt S14 gemäß 2C geladen werden und das Produktions-Computersystem 1 hochgefahren werden. Hierzu kann beispielsweise das Betriebssystem vollständig geladen werden.
  • Anschließend ist das Verfahren beendet. Das hier erläuterte Verfahren hat den Vorteil, dass ein Produktions-Computersystem 1 automatisiert unter Kontrolle eines Key-Computersystems 2 hochgefahren werden kann, wobei ein verschlüsseltes Dateisystem durch eine automatisiert vom Key-Computersystem 2 an das Produktions-Computersystem 1 übertragene Passphrase entschlüsselt werden kann. Auf Seiten des Produktions-Computersystems 1 ist keine Person (zum Beispiel Administrator) erforderlich, welche in Kenntnis einer Passphrase einen Bootvorgang am Produktions-Computersystem auslöst. Dies hat den Vorteil, dass eine sicherheitskritische Passphrase nicht an unbefugte Dritte weitergegeben oder von diesen geklaut werden kann.
  • Eine Passphrase kann vermittels des Key-Computersystems 2 durch eine Benutzergruppe, welche Zugriff auf das Key-Computersystem 2 hat, festgelegt werden. Es ist jedoch auch denkbar, dass die Passphrase automatisiert anhand vorbestimmter Prozesse im Key-Computersystem 2 generiert wird. Dies kann unter Umständen den Vorteil haben, dass keinerlei Benutzer (weder des Produktions-Computersystems 1 noch des Key-Computersystems 2) Kenntnis von einer erzeugten und übertragenen Passphrase hat. Auch dies kann die Sicherheitsmaßnahmen erhöhen.
  • Vorteilhaft haben lediglich autorisierte Benutzer einer ersten Benutzergruppe Zugriff auf das Produktions-Computersystem 1, jedoch keinen Zugriff auf das Key-Computersystem 2. Ferner haben vorteilhaft autorisierte Benutzer einer zweiten Benutzergruppe Zugriff auf das Key-Computersystem 2, jedoch keinen Zugriff auf das Produktions-Computersystem 1. Ein Zugriff über Netzwerk auf das jeweilige Computersystem 1 oder 2 kann beispielsweise in vorbestimmten Situationen dadurch eingeschränkt sein, dass sämtliche Netzwerk-Ports der Computersysteme 1 beziehungsweise 2 vollständig geschlossen sind, sodass ein Zugriff über Netzwerk nicht möglich ist.
  • Sämtliche Komponenten gemäß 1 sind lediglich der Einfachheit halber schematisiert dargestellt. Sämtliche Nomenklaturen sind lediglich beispielhaft gewählt. Die dargestellten Rechnerarchitekturen des Produktions-Computersystems 1 sowie des Key-Computersystems 2 sind lediglich beispielhaft gewählt. Der in den 2A bis 2C dargestellte Verfahrensablauf ist lediglich beispielhaft gewählt und kann vom Fachmann selbstverständlich angepasst oder geändert werden, soweit der Kerngedanke der hier vorliegenden Anmeldung dies zulässt.
  • Bezugszeichenliste
    • 1
    Produktions-Computersystem
    2
    Key-Computersystem
    3, 4
    CPU
    5, 6
    Speichermedium
    7
    Minimalsystem
    S1 bis S14
    Verfahrensschritte

Claims (10)

  1. Verfahren zum Hochfahren eines Produktions-Computersystems (1), umfassend die folgenden Schritte: – Herstellen einer Verbindung zwischen einem Key-Computersystem (2) und dem Produktions-Computersystem (1), – Sammeln von Informationen über Systemdaten des Produktions-Computersystems (1), – Übertragen der Informationen über die Systemdaten des Produktions-Computersystems (1) an das Key-Computersystem (2), – Vergleich der gesammelten Informationen mit im Key-Computersystem (2) hinterlegten Vergleichsinformationen, – Übertragen einer Passphrase vom Key-Computersystem (2) an das Produktions-Computersystem (1) zum Entschlüsseln von verschlüsselten Dateisystem-Daten auf einem Medium innerhalb des Produktions-Computersystems (1), falls der Vergleich erfolgreich ist, – Entschlüsseln der verschlüsselten Dateisystem-Daten auf dem Medium vermittels der Passphrase, sowie – Laden der entschlüsselten Dateisystem-Daten und Hochfahren des Produktions-Computersystems (1).
  2. Verfahren nach Anspruch 1, wobei das Produktions-Computersystem (1) ein Minimalsystem (7) startet, welches einen Zugriff des Key-Computersystems (2) auf das Produktions-Computersystem (1) zum Herstellen der Verbindung erlaubt.
  3. Verfahren nach Anspruch 2, wobei eine Authentifizierung und/oder Autorisierung des Key-Computersystems (2) am Minimalsystem (7) des Produktions-Computersystems (1) abgefragt wird und die Verbindung zwischen Key-Computersystem (2) und Produktions-Computersystem (1) nur hergestellt wird, wenn die Authentifizierung und/oder Autorisierung des Key-Computersystems (2) am Minimalsystem des Produktions-Computersystems (1) erfolgreich ist.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Produktions-Computersystem (1) dem Key-Computersystem (2) eine Bereitschaft zum Hochfahren durch folgende Maßnahmen mitteilt: – Senden einer vorbestimmten Sequenz an Paket-Daten vom Produktions-Computersystem (1) an das Key-Computersystem (2), wobei die Paket-Daten eine Identifikation des Produktions-Computersystems (1) umfassen, – Überprüfen der gesendeten Paket-Daten auf Übereinstimmung mit einer vordefinierten Sequenz im Key-Computersystem (2).
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Key-Computersystem (2) wenigstens ein vorbestimmtes Programm auf das Produktions-Computersystem (1) überträgt und im Produktions-Computersystem (1) ausführt, wobei vermittels des Programms die Informationen über die Systemdaten des Produktions-Computersystems (1) gesammelt und an das Key-Computersystem (2) übertragen werden.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei die Informationen über die Systemdaten des Produktions-Computersystems (1) wenigstens eines aus – Informationen über die vorhandene Hardware, – Prüfsummen und/oder Dateigrößen von Anwendungsprogrammen, – Prüfsummen und/oder Dateigrößen des Betriebssystemkerns, – Vollständige Dateien oder Massenspeicherabzüge umfassen.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei die Passphrase zumindest während der Durchführung des Verfahrens weder in verschlüsselter Form noch in Klartext im Produktions-Computersystem (1) dauerhaft oder wiederherstellbar gespeichert wird.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei die Passphrase automatisch im Key-Computersystem (2) erzeugt wird.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei ein Zugriff eines Benutzers einer ersten Benutzergruppe auf das Produktions-Computersystem (1) nach dessen Hochfahren eingerichtet ist, jedoch zumindest in einem vorbestimmten Betriebszustand des Key-Computersystems (2) ein Zugriff eines Benutzers der ersten Benutzergruppe auf das Key-Computersystem (2) verhindert wird.
  10. Verfahren nach Anspruch 9, wobei ein Zugriff eines Benutzers einer zweiten Benutzergruppe auf das Key-Computersystem (2) eingerichtet ist, jedoch zumindest in einem vorbestimmten Betriebszustand des Produktions-Computersystems (1) ein Zugriff eines Benutzers der zweiten Benutzergruppe auf das Produktions-Computersystem (1) verhindert wird.
DE102014101836.2A 2014-02-13 2014-02-13 Verfahren zum Hochfahren eines Produktions-Computersystems Withdrawn DE102014101836A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102014101836.2A DE102014101836A1 (de) 2014-02-13 2014-02-13 Verfahren zum Hochfahren eines Produktions-Computersystems
EP15702710.3A EP3105899B1 (de) 2014-02-13 2015-01-27 Verfahren zum hochfahren eines produktions-computersystems
JP2016551860A JP6300942B2 (ja) 2014-02-13 2015-01-27 生産コンピュータシステムをブートする方法
PCT/EP2015/051603 WO2015121061A1 (de) 2014-02-13 2015-01-27 Verfahren zum hochfahren eines produktions-computersystems
US15/118,530 US10114654B2 (en) 2014-02-13 2015-01-27 Method of booting a production computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014101836.2A DE102014101836A1 (de) 2014-02-13 2014-02-13 Verfahren zum Hochfahren eines Produktions-Computersystems

Publications (1)

Publication Number Publication Date
DE102014101836A1 true DE102014101836A1 (de) 2015-08-13

Family

ID=52450086

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014101836.2A Withdrawn DE102014101836A1 (de) 2014-02-13 2014-02-13 Verfahren zum Hochfahren eines Produktions-Computersystems

Country Status (5)

Country Link
US (1) US10114654B2 (de)
EP (1) EP3105899B1 (de)
JP (1) JP6300942B2 (de)
DE (1) DE102014101836A1 (de)
WO (1) WO2015121061A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102107277B1 (ko) * 2016-08-08 2020-05-06 (주)나무소프트 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
CN115357295B (zh) * 2022-10-21 2023-03-31 荣耀终端有限公司 系统回退方法、设备及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140824B2 (en) * 2002-11-21 2012-03-20 International Business Machines Corporation Secure code authentication
US7818585B2 (en) * 2004-12-22 2010-10-19 Sap Aktiengesellschaft Secure license management
JP4489030B2 (ja) * 2005-02-07 2010-06-23 株式会社ソニー・コンピュータエンタテインメント プロセッサ内にセキュアな起動シーケンスを提供する方法および装置
JP5085287B2 (ja) 2007-11-21 2012-11-28 株式会社リコー 情報処理装置、正当性検証方法および正当性検証プログラム
US8856512B2 (en) * 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine
JP2011003020A (ja) 2009-06-18 2011-01-06 Toyota Infotechnology Center Co Ltd コンピューターシステムおよびプログラム起動方法
US8959363B2 (en) * 2010-06-03 2015-02-17 Intel Corporation Systems, methods, and apparatus to virtualize TPM accesses
JP2012008641A (ja) 2010-06-22 2012-01-12 Toshiba Tec Corp セキュリティデバイス及び情報処理装置
US9544137B1 (en) * 2010-12-29 2017-01-10 Amazon Technologies, Inc. Encrypted boot volume access in resource-on-demand environments
JP5689429B2 (ja) * 2012-02-27 2015-03-25 株式会社日立製作所 認証装置、および、認証方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
Password Manager – Wikipedia. Mit Stand vom 19. Januar 2014. URL: http://en.wikipedia.org/w/index.php?title=Password_manager&oldid=591427978
Password Manager - Wikipedia. Mit Stand vom 19. Januar 2014. URL: http://en.wikipedia.org/w/index.php?title=Password_manager&oldid=591427978 *
Principle of Least Privilege- Wikipedia. Mit Stand vom 28. Januar 2014.URL: http://en.wikipedia.org/w/index.php?title=Principle_of_least_privilege&oldid=592851972 *
Principle of Least Privilege– Wikipedia. Mit Stand vom 28. Januar 2014.URL: http://en.wikipedia.org/w/index.php?title=Principle_of_least_privilege&oldid=592851972
Ubuntuusers-Wiki: Verschlüsseltes System via SSH freischalten. Mit Stand vom 30. April 2011. URL: http://wiki.ubuntuusers.de/Verschlüsseltes_System_via_SSH_freischalten
Ubuntuusers-Wiki: Verschlüsseltes System via SSH freischalten. Mit Stand vom 30. April 2011. URL: http://wiki.ubuntuusers.de/Verschlüsseltes_System_via_SSH_freischalten *

Also Published As

Publication number Publication date
EP3105899B1 (de) 2018-06-06
US10114654B2 (en) 2018-10-30
EP3105899A1 (de) 2016-12-21
WO2015121061A1 (de) 2015-08-20
US20170060597A1 (en) 2017-03-02
JP2017511921A (ja) 2017-04-27
JP6300942B2 (ja) 2018-03-28

Similar Documents

Publication Publication Date Title
EP3443705B1 (de) Verfahren und anordnung zum aufbauen einer sicheren kommunikation zwischen einer ersten netzwerkeinrichtung (initiator) und einer zweiten netzwerkeinrichtung (responder)
DE202018002074U1 (de) System zur sicheren Speicherung von elektronischem Material
DE102017205948A1 (de) Nachrichtenauthentifizierung mit sicherer Codeverifikation
DE112008001436T5 (de) Sichere Kommunikation
DE102007030622A1 (de) Verfahren und Anwendung zum Verknüpfen zwischen Systemen auf der Grundlage von Hardware-Sicherheits-Einheiten
DE102015003236A1 (de) Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
EP2351320B1 (de) Serversystem und verfahren zur bereitstellung mindestens einer leistung
DE102013102229A1 (de) Verfahren zum Ausführen von Tasks auf einem Produktions-Computersystem sowie Datenverarbeitungssystem
EP3152874B1 (de) Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt
DE102009054128A1 (de) Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers
EP3105899B1 (de) Verfahren zum hochfahren eines produktions-computersystems
EP3761202B1 (de) System und verfahren zur speicherung eines zu schützenden datensatzes
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
EP3152880B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE102020110034A1 (de) Überwachungssystem mit mehrstufiger Anfrageprüfung
EP3191902B1 (de) Verfahren zum zugreifen auf funktionen eines embedded-geräts
DE102018213038A1 (de) Verfahren zum fahrzeuginternen Verwalten von kryptographischen Schlüsseln
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
DE102021126869A1 (de) Berechtigungen für Backup-bezogene Operationen
EP1924945B1 (de) Verfahren zur verbesserung der vertrauenswürdigkeit von elektronischen geräten und datenträger dafür
DE102014114432B4 (de) Verfahren, Vorrichtung und Computerprogramm zum Kontrollieren eines Zugriffsauf einen Service innerhalb eines Netzwerkes
DE102010052246A1 (de) Verfahren zum Zugang zu einem Betriebssystem, Wechselspeichermedium und Verwendung eines Wechselspeichermediums
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
EP3627755A1 (de) Verfahren für eine sichere kommunikation in einem kommunikationsnetzwerk mit einer vielzahl von einheiten mit unterschiedlichen sicherheitsniveaus

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee